メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ネームサーバ管理者の方々へ

一般社団法人日本ネットワークインフォメーションセンター

BIND 9における複数の脆弱性について(2021年4月)

2021年4月28日(現地時間)、 複数のバージョンのBIND 9に存在する、 三つの脆弱性の情報がISC (Internet Systems Consortium)から公開されました。 それぞれの脆弱性の内容は次の通りです。

  1. IXFRの不具合によりnamedが予期せず停止するもの
  2. DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーションチェックが失敗するもの
  3. BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性があるもの(第二報)

ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆さまにおかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。

CVE-2021-25214: IXFRの不具合によりnamedが予期せず停止する

IXFR(Incremental zone transfers)は、サーバ間のゾーン転送において差分転送を行う機能です。 このIXFRを行う際に、転送するデータ中にゾーン頂点以外のownerを持つSOAレコードがあった場合、 ゾーンを受信する側のnamedがデータベースから当該のSOAレコードを誤って削除してしまう可能性があります。 これにより、そのゾーンに対して次にSOAのrefreshクエリを実行した際に、アサーションに失敗しnamedが停止します。

CVE-2021-25215: DNAMEレコードへの応答の際に、DNAME自身の名前解決に失敗しアサーションチェックが失敗することがある

DNAMEレコードは、DNSにおける名前空間の一部分を別のツリーへリダイレクトできるようにする機能を持ったレコードであり、 RFC6672で標準化されています。

namedにはこのDNAMEレコードを処理する過程に不具合があるため、 同じRRsetをANSWERセクションに2回以上追加しようとする可能性があります。 これにより、BINDのアサーションチェックが失敗します。

DNAMEレコードは、権威サーバとキャッシュサーバの両方で用いられます。 権威サーバの場合、ゾーンデータベース中にDNAMEレコードが含まれていると脆弱性の発生要因となる可能性があります。 キャッシュサーバの場合、名前解決中に権威サーバからDNAMEレコードを受け取る可能性があります。

CVE-2021-25216: BINDのGSSAPIネゴシエーション機能の脆弱性に対してバッファオーバーフロー攻撃の標的となる可能性がある(第二報)

GSS-TSIGはTSIGプロトコルの拡張であり、通信の正しさを検証するために使用されます。 また、GSS-TSIGのインタフェースとして使用されるネゴシエーションメカニズムにはSPNEGOというものがあります。 このSPNEGOの実装に、バッファオーバーフロー攻撃が成功する可能性のある脆弱性があります。

デフォルトの設定は脆弱ではありませんが、 GSS-TSIG機能に関するtkey-gssapi-keytabまたはtkey-gssapi-credentialオプションが有効な場合に脆弱となります。 ただし、GSS-TSIGは、BINDとSambaとの統合環境や、 BINDとActive Directoryのドメインコントローラを組み合わせた環境でよく使用されるため、注意が必要です。

SPNEGOの標準的な実装としてはMITおよびHeimdalのKerberosライブラリがあり、 幅広いOS環境でサポートされています。ISCは、ISCによる実装は不要かつ時代遅れであると判断しました。

そのため、2021年4月にリリースされるBIND 9.11および9.16からISCによるSPNEGO実装が削除されることになりました(BIND 9.17はすでに削除されています)。

修正されたバージョンとダウンロードページ

BIND 9.11.31
BIND 9.16.15
BIND 9.17.12 (CVE-2021-25216 を除く)

BIND 9.11.31-S1
BIND 9.16.15-S1

https://www.isc.org/download/

ISCからのアナウンス

CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly
https://kb.isc.org/docs/cve-2021-25214
CVE-2021-25215: An assertion check can fail while answering queries for DNAME records that require the DNAME to be processed to resolve itself
https://kb.isc.org/docs/cve-2021-25215
CVE-2021-25216: A second vulnerability in BIND's GSSAPI security policy negotiation can be targeted by a buffer overflow attack - Security Advisories
https://kb.isc.org/docs/cve-2021-25216

参考情報

JPRS

BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25214)
- セカンダリサーバーのみ対象、バージョンアップを推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-ixfr.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2021-25215)
- バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-dname.html
(緊急)BIND 9.xの脆弱性(DNSサービスの停止・リモートコード実行)について(CVE-2021-25216)
- GSS-TSIGが有効に設定されている場合のみ対象、バージョンアップを強く推奨 -
https://jprs.jp/tech/security/2021-04-30-bind9-vuln-gsstsig.html

JPCERT/CC

ISC BIND 9の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2021/at210021.html

以上

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2021 Japan Network Information Center. All Rights Reserved.